2017年5月17日���,克羅地亞安全專(zhuān)家(Miroslav Stampar)發(fā)現(xiàn)了一種基于類(lèi)似WannaCry的蠕蟲(chóng)病毒���,也是通過(guò)NSA武器庫(kù)中的漏洞進(jìn)行傳播,該蠕蟲(chóng)被命名為EternalRocks(永恒之石)�, “永恒之石”沒(méi)有安全驗(yàn)證開(kāi)關(guān),相比WannaCry更危險(xiǎn)�,它不像WannaCry蠕蟲(chóng)使用了2個(gè)NSA攻擊工具,這個(gè)惡意軟件使用了7個(gè)以SMB為中心的NSA工具來(lái)感染那些在線且暴露SMB端口的計(jì)算機(jī)���,一旦該蠕蟲(chóng)獲得了入侵點(diǎn)���,它將使用另一個(gè)NSA工具DOUBLEPULSAR傳播到新的那些易受攻擊的機(jī)器上去���。
“永恒之石”(EternalRocks)蠕蟲(chóng)細(xì)節(jié):
該蠕蟲(chóng)入侵同樣是利用Windows系統(tǒng) SMB 協(xié)議存在的漏洞(MS17-010),涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系統(tǒng)���,微軟已經(jīng)發(fā)布官方安全補(bǔ)丁MS17-070��,對(duì)漏洞進(jìn)行了修復(fù)(www.deshengidc.cn)
檢測(cè)方式
病毒感染主機(jī)后����,會(huì)創(chuàng)建C:Program FilesMicrosoft Updates目錄��,生成多個(gè)病毒文件�����,如下圖:
進(jìn)入開(kāi)始菜單—控制面板—管理工具—計(jì)劃任務(wù)��,展開(kāi)任務(wù)計(jì)劃程序庫(kù)—Microsoft—Windows�,病毒會(huì)創(chuàng)建2個(gè)計(jì)劃任務(wù)ServiceHost和TaskHost,如下圖:
如何處理和防御��?
檢測(cè)階段發(fā)現(xiàn)的已感染病毒的主機(jī)應(yīng)立即進(jìn)行斷網(wǎng)�����,避免病毒進(jìn)一步在網(wǎng)絡(luò)內(nèi)擴(kuò)散�����。
對(duì)于未安裝MS17-010補(bǔ)丁的和存在Doublepulsar后門(mén)的主機(jī)�,立即使用ECS安全組公網(wǎng)入和出方向策略封鎖Windows SMB服務(wù)TCP 445端口。
下載安裝MS17-010補(bǔ)丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010
掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
1��、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場(chǎng)景技術(shù)解決方案白皮書(shū)》
2����、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測(cè)試技術(shù)白皮書(shū)-2022_03-21》
3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):6G至簡(jiǎn)無(wú)線接入網(wǎng)白皮書(shū)》
4�、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國(guó)聯(lián)通5G終端白皮書(shū)》》
5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國(guó)電信5G NTN技術(shù)白皮書(shū)》
6�����、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解》
7��、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國(guó)移動(dòng)算力并網(wǎng)白皮書(shū)》
8�、回復(fù)“5GX3”免費(fèi)領(lǐng)取《 R16 23501-g60 5G的系統(tǒng)架構(gòu)1》
關(guān)注樓主